La semaine des ransomwares – 21 octobre 2022
6 min read
Les chercheurs en cybersécurité n’ont pas déçu, avec des rapports liant RansomCartel à REvil, sur les pirates OldGremlin ciblant la Russie avec un ransomware, un nouvel outil d’exfiltration de données utilisé par BlackByte, un avertissement que les acteurs du ransomware exploitent les vulnérabilités de VMware, et enfin, notre propre rapport sur le Venus Ransomware .
Le FBI a publié un avertissement indiquant que le gang de rançongiciels Daixin cible le secteur américain de la santé et de la santé publique (HPH) dans de multiples attaques.
Cette semaine, Medibank a finalement confirmé qu’il s’agissait d’un rançongiciel derrière sa récente cyberattaque. Nous avons également assisté à une attaque contre le groupe de médias Stimme Mediengruppe qui empêchait l’impression et la distribution de journaux allemands.
Les contributeurs et ceux qui ont fourni de nouvelles informations et histoires sur les rançongiciels cette semaine incluent : @malwrhunterteam, @PolarToffee, @Ionut_Ilascu, @FourOctets, @jorntvdw, @struppigel, @BleepinComputer, @ demonslay335, @billtoulas, @Seifreed, @LawrenceAbrams, @serghei, @fwosar, @DanielGallagher, @VK_Intel, @malwareforme, @Fortinet, @BroadcomSW, @0verfl0w_, @linuxct, @Unit42_Intel, @Amermelsad, @MsftSecIntel, @CrowdStrike, @GroupIB_GIB, @BushidoToken, @JackRhysider, @Intel471Inc, @NCCGroupplcet @pcrisk.
16 octobre 2022
Venus Ransomware cible les services de bureau à distance exposés publiquement
Les acteurs de la menace derrière le relativement nouveau Venus Ransomware piratent les services de bureau à distance exposés au public pour chiffrer les appareils Windows.
17 octobre 2022
Une attaque de ransomware stoppe la diffusion de certains journaux allemands
Le journal allemand “Heilbronn Stimme” a publié le numéro de 28 pages d’aujourd’hui sous forme de papier électronique après qu’une attaque de rançongiciel de vendredi ait paralysé ses systèmes d’impression.
La compagnie d’assurance australienne Medibank confirme l’attaque par ransomware
Le fournisseur d’assurance maladie Medibank a confirmé qu’une attaque de ransomware est responsable de la cyberattaque de la semaine dernière et de la perturbation des services en ligne.
Nouvelles variantes de ransomware STOP
PCrisque trouvé de nouvelles variantes de ransomware STOP qui ajoutent le .tury et .tuis extension.
Nouveau rançongiciel Escanor
PCrisk a trouvé le nouveau ESCANOR Ransomware qui ajoute le .ESCANOR et laisse tomber le HELP_DECRYPT_YOUR_FILES.txt note de rançon.
18 octobre 2022
Cartel de rançon lié à l’opération notoire de rançongiciel REvil
Les chercheurs ont lié l’opération relativement nouvelle du rançongiciel Ransom Cartel au célèbre gang REvil sur la base de similitudes de code dans les chiffreurs des deux opérations.
Défenseurs, méfiez-vous : un cas pour les enquêtes post-ransomware
Dans ce blog, nous détaillons un récent incident de ransomware dans lequel l’attaquant a utilisé une collection d’outils et de techniques de base, tels que l’utilisation de binaires vivant hors de la terre, pour lancer son code malveillant. Cobalt Strike a été utilisé pour la persistance sur le réseau avec les privilèges NT AUTHORITY/SYSTEM (système local) afin de maintenir l’accès au réseau après la réinitialisation des mots de passe des comptes compromis.
Nouvelle variante du rançongiciel RONALDIHNO
PCrisk a trouvé un nouveau rançongiciel RONALDIHNO qui ajoute le .r7 extension et dépose une note de rançon nommée READ_THIS.txt.
Nouvelle variante du rançongiciel CMLocker
PCrisk a trouvé un nouveau rançongiciel CMlocker qui ajoute le .CMLOCKER extension et dépose une note de rançon nommée HELP_DECRYPT_YOUR_FILES.txt.
Darknet Diaries – EP 126: REvil
REvil est le nom d’un service de ransomware ainsi que d’un groupe de criminels infligeant des ransomwares au monde. Découvrez comment ce rançongiciel a secoué le monde.
19 octobre 2022
Ransomware DeadBolt : rien que NASty
L’équipe de réponse aux incidents de Group-IB a enquêté sur un incident lié à une attaque DeadBolt et analysé un échantillon de rançongiciel DeadBolt
Nouvelles variantes du rançongiciel Dcrtr
PCrisk a trouvé de nouvelles variantes de ransomware Dcrtr qui ajoutent le .éclat ou .cendre extensions aux fichiers cryptés.
20 octobre 2022
Les pirates d’OldGremlin utilisent le rançongiciel Linux pour attaquer les organisations russes
OldGremlin, l’un des rares groupes de rançongiciels attaquant les réseaux d’entreprise russes, a élargi sa boîte à outils avec des logiciels malveillants de cryptage de fichiers pour les machines Linux.
Principales variantes de ransomware Q3 2022
Les chercheurs d’@Intel471Inc ont observé 455 attaques de #ransomware au troisième trimestre de 2022, les variantes les plus répandues étant #LockBit 3.0, #BlackBasta, #Hive, #ALPHV et #BlackCat. Notre dernier rapport analyse les principales variantes et les industries les plus touchées par celles-ci.
Nouvelle variante du rançongiciel Chaos
PCrisk a trouvé une nouvelle variante du rançongiciel Chaos qui ajoute le .UE extension et dépose une note de rançon nommée read_instruction.txt.
21 octobre 2022
Le rançongiciel BlackByte utilise un nouvel outil de vol de données pour une double extorsion
Un affilié BlackByte ransomware utilise un nouvel outil de vol de données personnalisé appelé « ExByte » pour voler rapidement les données des appareils Windows compromis.
Les pirates exploitent une faille critique de VMware pour éliminer les rançongiciels et les mineurs
Les chercheurs en sécurité ont observé des campagnes malveillantes exploitant une vulnérabilité critique dans VMware Workspace One Access pour diffuser divers logiciels malveillants, notamment l’outil RAR1Ransom qui verrouille les fichiers dans des archives protégées par mot de passe.
Le gouvernement américain met en garde contre l’équipe Daixin ciblant les organisations de santé avec un ransomware
La CISA, le FBI et le ministère de la Santé et des Services sociaux (HHS) ont averti qu’un groupe de cybercriminalité connu sous le nom de Daixin Team cible activement le secteur américain de la santé et de la santé publique (HPH) dans des attaques de ransomwares.
Jouer à cache-cache avec un ransomware, partie 2
Dans la partie 1, nous avons expliqué ce que sont les enclaves Intel SGX et comment elles profitent aux auteurs de ransomwares. Dans la partie 2, nous explorons une mise en œuvre hypothétique étape par étape et décrivons les limites de cette méthode.
Analyse mensuelle des menaces du NCC Group – Septembre 2022
Revendiquant la quatrième place la plus active, juste derrière BlackCat se trouvait le nouveau venu Sparta. Avec 12 victimes signalées en une journée et 14 au cours du mois, le groupe a émergé sur la scène des ransomwares avec un démarrage explosif. Les observations suggèrent qu’il cible actuellement uniquement des entités basées en Espagne, suggérant qu’il s’agit d’un groupe criminel organisé hispanophone.
